Supportnet / Forum / WindowsXP
Wie kann ich erkennen, dass jemand auf Shares zugreift?
Frage
Hallo!
Ich nutze einen Desktop PC und habe dort einige Ordner freigegeben.
Des weiteren nutze ich ein Notebook mit dem ich mir ggf. Daten aus den Shares vom Desktop PC ansehe.
Also beide Rechner sind über einen Router im LAN verbunden.
Jetzt kommt es häufiger vor, dass ich eine Freigabe nicht öffen kann "Sie haben keine Berechtigung...".
Mein Gedanke war, dass evtl. jemand aus dem Internet auf diesen Ordner zugreift und es kann sich ja immer nur eine Person mit dem Ordner verbinden (glaube ich zumindest...)...
Nun suche ich ein Programm, welches mir anzeigt, welche IP gerade auf meine Shares zugreift (LAN und Internet)...
Ausserdem bekomme ich von meiner Firewall ständig Meldungen, dass ein Angriffversuch geblockt wurde... aber wie viele angreifer kommen denn durch??
Danke für Eure Hilfe!
Antwort 1 von Crady
Achso.. eine LOG Datei wäre auch schon Hilfreich...
Antwort 2 von proton_01
such mal in deinem router-menü nach einem punkt wie diesem:
´Sicherheitsprotokoll
Der drahtlose Belkin Router zeichnet alle Versuche zum Zugriff auf Ihr Netzwerk auf. Auf dem Bildschirm werden die Zugriffsversuche protokolliert.´
so stehts jedenfalls bei meinem router drin.
mfg
´Sicherheitsprotokoll
Der drahtlose Belkin Router zeichnet alle Versuche zum Zugriff auf Ihr Netzwerk auf. Auf dem Bildschirm werden die Zugriffsversuche protokolliert.´
so stehts jedenfalls bei meinem router drin.
mfg
Antwort 3 von Das_Urmel
mpuh
XP und SP2 drauf? oder welche freie Firewall?
Die sagts dir im Log oder im LAN
net session <-- wer ist drauf
net file <-- welche Dateien offen
tschö
Michael
XP und SP2 drauf? oder welche freie Firewall?
Die sagts dir im Log oder im LAN
net session <-- wer ist drauf
net file <-- welche Dateien offen
tschö
Michael
Antwort 4 von Crady
Also..
Beide REchner habe XP SP2, der eine (Desktop) hat die Outpost Firewall drauf und der andere (Notebook) McAfee...
Ich habe (Desktop) Netzwerkaktivität von "svhost" und ab und zu von "netbios" ... (alles quell - IPs aus dem Internet)...
Als "Angriffversuch" bekomme ich immer Meldungen wie: "RPC-DCOM" oder "Portprüfung" bzw. "falsche DNS (oder so ähnlich)...
Es muss doch ein Programm oder eine LOG Datei geben, die mir sagt, wann welche IP auf meine Shares zugegriffen hat (evtl. auch welche Dateien geöffnet bzw. runtergeladen wurden)...
Zugriffsversuche die geblockt wurden interessieren mich nicht
Danke
Beide REchner habe XP SP2, der eine (Desktop) hat die Outpost Firewall drauf und der andere (Notebook) McAfee...
Ich habe (Desktop) Netzwerkaktivität von "svhost" und ab und zu von "netbios" ... (alles quell - IPs aus dem Internet)...
Als "Angriffversuch" bekomme ich immer Meldungen wie: "RPC-DCOM" oder "Portprüfung" bzw. "falsche DNS (oder so ähnlich)...
Es muss doch ein Programm oder eine LOG Datei geben, die mir sagt, wann welche IP auf meine Shares zugegriffen hat (evtl. auch welche Dateien geöffnet bzw. runtergeladen wurden)...
Zugriffsversuche die geblockt wurden interessieren mich nicht
Danke
Antwort 5 von Das_Urmel
Zitat:
Netzwerkaktivität von "svhost" und ab und zu von "netbios" ... (alles quell - IPs aus dem Internet)...
Netzwerkaktivität von "svhost" und ab und zu von "netbios" ... (alles quell - IPs aus dem Internet)...
Da solltest du dich mal intensiv mit der Konfiguration deiner Firewall befassen, NBT ins Inet ist völlig daneben.
Du hast doch schon eine, zwei FW´s - also befasse dich damit.
www.grc.com - lasse da deine Schwachstellen prüfen, mache die dann dicht - wie sollte in deinen helpfiles der jeweiligen FW stehen.
viel glück
Michael
Antwort 6 von RTFM
Also ich würde mir eine HARDWARE-Firewall dazwischenbauen, dann ist Ruhe im Karton!
Antwort 7 von Crady
@ das Urmel:
??? wie schalte ich NBT denn ab?? (ich denke Du meinst das NetBios) kann ich dann über das LAN trotzdem auf die Shares zugreifen??
meine Firewall habe ich auf Standard gelassen, da dies in der Bedienungsanleitung vorgeschalgen wird. Unbekannte Anwendungen blocke ich ab und bekannte (Browser, Outlook etc. lasse ich natürlich zu)
Welches Programm soll ich denn von grc.com laden? Der Lake Test sagt mir z.B. entweder, dass er nicht verbinden kann und somit nichts auswerten kann oder dass er durch die Firewall gekommen ist wenn ich die Anwendung zulasse... Tolle Aussage
Und was ist mi svhost?? Was ist das für ne Anwendung und sind Verbindungen über sie mit anderen Rechnern gefährlich??
??? wie schalte ich NBT denn ab?? (ich denke Du meinst das NetBios) kann ich dann über das LAN trotzdem auf die Shares zugreifen??
meine Firewall habe ich auf Standard gelassen, da dies in der Bedienungsanleitung vorgeschalgen wird. Unbekannte Anwendungen blocke ich ab und bekannte (Browser, Outlook etc. lasse ich natürlich zu)
Welches Programm soll ich denn von grc.com laden? Der Lake Test sagt mir z.B. entweder, dass er nicht verbinden kann und somit nichts auswerten kann oder dass er durch die Firewall gekommen ist wenn ich die Anwendung zulasse... Tolle Aussage
Und was ist mi svhost?? Was ist das für ne Anwendung und sind Verbindungen über sie mit anderen Rechnern gefährlich??
Antwort 8 von Crady
Ach... ich sehe gerade, wenn ich die Spalten breiter ziehe, dass die meisten Verbindungen des SVCHOST abgelehnt wurden und die NetBios aber IMMER (bis jetzt auf jeden fall)...
und das steht da bei einem Zugelassenen Rechner:
Program: Protok.: lok Adr: lok. Port
SVCHOST.EXE TCP local:192.168.0.3 DCOM
Rem. Adr. Rem. Port Grund für zul. / block
84.63.109.42 1385 Aktivität für diese Anwendung zulassen svchost.exe
Status
EIN SCHLIESSEN
18:54:36 40 Minute(n) 05 Sekunde(n) 0 Byte 0 Byte 0 Bps ---
und das steht da bei einem Zugelassenen Rechner:
Program: Protok.: lok Adr: lok. Port
SVCHOST.EXE TCP local:192.168.0.3 DCOM
Rem. Adr. Rem. Port Grund für zul. / block
84.63.109.42 1385 Aktivität für diese Anwendung zulassen svchost.exe
Status
EIN SCHLIESSEN
18:54:36 40 Minute(n) 05 Sekunde(n) 0 Byte 0 Byte 0 Bps ---
Antwort 9 von Das_Urmel
DCOM
Port 135, 445 sind in der FW für Outbound zu schliessen.
Folge doch mal dem Link zu grc bitte.
In diesem Fall ist der Hinweis von RTFM - Hardwarefirewal echt nicht von der hand zu weisen.
crady - du must dich schon mit der Config deiner Desktopfirewals befassen - kann richtig Arbeit machen, aber im Moment scheinst du definitiv ein Problem zu haben
Ist das deine eigene verbin9ung zu Arcor, oder wie?
dslb-084-063-109-042.pools.arcor-ip.net [84.63.109.42]
Kann auch jemand anders sein, der da mal neugierig schaut.
Ich verfolge das nicht weiter, dein problem.
mfg
Michael
Port 135, 445 sind in der FW für Outbound zu schliessen.
Folge doch mal dem Link zu grc bitte.
In diesem Fall ist der Hinweis von RTFM - Hardwarefirewal echt nicht von der hand zu weisen.
crady - du must dich schon mit der Config deiner Desktopfirewals befassen - kann richtig Arbeit machen, aber im Moment scheinst du definitiv ein Problem zu haben
Ist das deine eigene verbin9ung zu Arcor, oder wie?
dslb-084-063-109-042.pools.arcor-ip.net [84.63.109.42]
Kann auch jemand anders sein, der da mal neugierig schaut.
Ich verfolge das nicht weiter, dein problem.
mfg
Michael